Komisioni Irlandez për Mbrojtjen e të Dhënave (DPC) ka shpallur sot vendimin përfundimtar pas përfundimit të një hetimi ndaj kompanisë TikTok Technology Limited (“TikTok”). Hetimi u nis nga DPC në cilësinë e saj si Autoriteti Kryesor Mbikëqyrës për TikTok, me qëllim të vlerësimit të ligjshmërisë së transferimeve të të dhënave personale të përdoruesve të TikTok në Zonën Ekonomike Evropiane (ZEE) drejt Republikës Popullore të Kinës (“Kina”). Gjithashtu, u shqyrtua nëse informacioni i dhënë përdoruesve lidhur me këto transferime përmbushte kërkesat e transparencës të parashikuara nga Rregullorja e Përgjithshme për Mbrojtjen e të Dhënave (GDPR).
Vendimi, i marrë nga Komisionerët për Mbrojtjen e të Dhënave, Dr. Des Hogan dhe z. Dale Sunderland, dhe i komunikuar TikTok-ut, konstaton se TikTok ka shkelur GDPR-në në lidhje me transferimet e të dhënave të përdoruesve të ZEE drejt Kinës, si dhe ka dështuar të përmbushë kërkesat për transparencë. Vendimi parashikon gjoba administrative në shumën totale prej 530 milionë eurosh dhe urdhëron TikTok-un të sjellë përpunimin e të dhënave në përputhje me rregulloren brenda 6 muajve. Po ashtu, vendimi përfshin edhe një urdhër për pezullimin e transferimeve drejt Kinës nëse brenda këtij afati nuk bëhet përputhja me GDPR-në.
Zëvendës Komisioneri i DPC-së, Graham Doyle, deklaroi:
“GDPR-ja kërkon që niveli i lartë i mbrojtjes së të dhënave, që garantohet brenda Bashkimit Evropian, të ruhet edhe kur të dhënat personale transferohen jashtë tij.
Transferimet e TikTok-ut drejt Kinës përbënin shkelje të GDPR-së, pasi kompania nuk arriti të verifikojë, garantojë dhe dëshmojë se të dhënat personale të përdoruesve të ZEE-së, që u aksesuan nga stafi në Kinë, ishin të mbrojtura me një nivel të barasvlershëm me atë të garantuar në BE.
Si pasojë e dështimit për të kryer vlerësimet e nevojshme, TikTok nuk adresoi rrezikun e aksesit të mundshëm nga autoritetet kineze ndaj të dhënave personale të ZEE-së, sipas ligjeve kineze për antiterrorizëm, kundërzbulim dhe ligjeve të tjera që TikTok vetë i ka identifikuar si ndryshe në mënyrë të theksuar nga standardet evropiane.”
Më 21 shkurt 2025, DPC i dërgoi një projektvendim mekanizmit të bashkëpunimit sipas nenit 60 të GDPR-së. Nuk pati asnjë kundërshtim ndaj këtij projekti. DPC falënderon autoritetet homologe të BE/ZEE për bashkëpunimin në këtë çështje.
Informacion i pasaktë i paraqitur gjatë hetimit
Gjatë hetimit, TikTok kishte deklaruar se nuk ruante të dhëna të përdoruesve të ZEE-së në serverë të ndodhur në Kinë. Megjithatë, në prill 2025, TikTok njoftoi DPC-në për një problem të zbuluar në shkurt 2025, ku një sasi e kufizuar të dhënash të përdoruesve të ZEE-së ishte ruajtur në serverë në Kinë, në kundërshtim me dëshminë e dhënë më herët. TikTok bëri të ditur se kjo do të thoshte se kishte paraqitur informacion të pasaktë gjatë hetimit.
Zëvendës Komisioneri Doyle shtoi:
“DPC po e trajton me shumë seriozitet këtë zhvillim të fundit për ruajtjen e të dhënave të ZEE-së në serverë në Kinë. Edhe pse TikTok ka njoftuar se të dhënat janë fshirë, ne po shqyrtojmë nëse janë të nevojshme masa të tjera rregullatore, në bashkëpunim me autoritetet e tjera për mbrojtjen e të dhënave në BE.”
DPC do të publikojë vendimin e plotë dhe informacione të tjera të lidhura me të në një moment të dytë.
[1] Ligji për transferimet e të dhënave jashtë BE-së
GDPR-ja garanton mbrojtje të lartë të të dhënave personale në të gjithë ZEE-në dhe u jep individëve të drejta të mbrojtura. Transferimi i këtyre të dhënave jashtë ZEE-së mund të cenojë këto të drejta, ndaj transferimet lejohen vetëm nëse plotësohen kushtet e kapitullit V të GDPR-së. Transferimi mund të ndodhë në mënyrë të sigurt në një vend të tretë vetëm nëse ky vend siguron një nivel mbrojtjeje të barabartë me atë të BE-së.
Neni 45(1) i GDPR-së parashikon se transferimi i të dhënave personale mund të autorizohet me një vendim të Komisionit Evropian për vendet që ofrojnë mbrojtje të mjaftueshme (“Vendim i Mjaftueshmërisë”). Deri më sot, Komisioni Evropian ka dhënë vendime të tilla për vende si Andorra, Argjentina, Kanadaja, Izraeli, Japonia, SHBA dhe të tjera.
Në mungesë të një vendimi të tillë, një organizatë (kontrolluesi i të dhënave) që dëshiron të transferojë të dhëna jashtë BE/ZEE, duhet të përdorë masa mbrojtëse si Klauzolat Standarde të Kontratës (SCCs), dhe të garantojë që ligjet dhe praktikat në vendin pritës ofrojnë mbrojtje të barasvlershme me ato të BE-së.
[2] Gjetjet e DPC-së mbi ligjshmërinë e transferimeve
TikTok Ireland duhej të vlerësonte nëse ligjet kineze garantonin një nivel mbrojtjeje të barabartë me ligjin e BE-së. DPC konstatoi se transferimet e TikTok-ut shkelin nenin 46(1) të GDPR-së, pasi kompania nuk arriti të verifikojë, garantojë dhe dëshmojë se masat mbrojtëse shtesë dhe SCC-të ishin të mjaftueshme për të garantuar mbrojtje të barabartë për të dhënat personale të përdoruesve të ZEE-së që përpunoheshin nëpërmjet aksesit në distancë nga Kina.
Megjithëse TikTok pretendoi se ky lloj transferimi nuk i nënshtrohej ligjeve përkatëse kineze, vetë vlerësimi i TikTok tregoi se ligje si Ligji për Antiterrorizëm, Ligji për Kundërzbulim, Ligji për Sigurinë Kibernetike dhe Ligji për Inteligjencën Kombëtare janë në kundërshtim me standardet e BE-së.
Duke ushtruar kompetencat korrigjuese, DPC mori parasysh ndryshimet që TikTok ka ndërmarrë me “Projektin Clover”. Megjithatë, vendosi se pezullimi i transferimeve dhe urdhërimi për përputhje me GDPR-në brenda 6 muajve është i arsyeshëm dhe proporcional.
[3] Gjetjet e DPC-së mbi transparencën
Neni 13(1)(f) i GDPR-së kërkon që kontrolluesit e të dhënave të informojnë individët mbi çdo transferim të të dhënave në vende të treta. DPC vlerësoi se politika e privatësisë e TikTok për ZEE-në e tetorit 2021 ishte e papërshtatshme për dy arsye:
Nuk i përmendte vendet e treta, përfshirë Kinën, ku transferoheshin të dhënat;
Nuk shpjegonte natyrën e përpunimit – konkretisht, nuk specifikonte se të dhënat ruheshin në SHBA dhe Singapor dhe u aksesoheshin nga personel në Kinë.
Politika e re e dhjetorit 2022 përmendte vendet përkatëse dhe i informonte përdoruesit se të dhënat ruheshin në SHBA dhe Singapor dhe ishin të aksesueshme nga personel i TikTok-ut në Brazil, Kinë, Malajzi, Filipine, Singapor dhe SHBA.
DPC e vlerësoi këtë politikë të re si përputhëse me kërkesat e GDPR-së për transparencë. Për rrjedhojë, periudha e shkeljes së nenit 13(1)(f) përllogaritet nga 29 korriku 2020 deri më 1 dhjetor 2022.
Gjoba administrative:
€45 milion për shkeljen e transparencës (neni 13(1)(f)),
€485 milion për shkeljen e transferimeve të të dhënave (neni 46(1)).
Totali: €530 milionë.
Komente
